CISP考試認(rèn)證(習(xí)題卷14)

試卷科目：CISP考試認(rèn)證CISP考試認(rèn)證(習(xí)題卷14)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISP考試認(rèn)證第1部分：單項(xiàng)選擇題，共93題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.以下系統(tǒng)工程說法錯誤的是？A)系統(tǒng)工程是基本理論的技術(shù)實(shí)現(xiàn)B)系統(tǒng)工程是一種對所有系統(tǒng)都具有普遍意義的科學(xué)方法C)系統(tǒng)工程是組織管理系統(tǒng)規(guī)劃、研究、制造、試驗(yàn)、使用的科學(xué)方法D)系統(tǒng)工程是一種方法論答案:A解析:[單選題]2.信息安全管理手段不包括以下哪一項(xiàng)A)技術(shù)B)流程C)人員D)市場答案:B解析:[單選題]3.在軟件開發(fā)的需求定義階段,在軟件測試方面,以下哪一個選項(xiàng)被制定?A)覆蓋關(guān)鍵應(yīng)用的測試數(shù)據(jù)B)詳細(xì)的安全測試計劃C)質(zhì)量保證測試標(biāo)準(zhǔn)D)用戶驗(yàn)收測試標(biāo)準(zhǔn)答案:D解析:[單選題]4.作為業(yè)務(wù)持續(xù)性計劃的一部分,在進(jìn)行業(yè)務(wù)影響分析(BIA)時的步驟是:1.標(biāo)識關(guān)鍵的業(yè)務(wù)過程2.開發(fā)恢復(fù)優(yōu)先級3.標(biāo)識關(guān)鍵的IT資源4.表示中斷影響和允許的中斷時間A)1-3-4-2B)1-3-2-4C)1-2-3-4D)1-4-3-2答案:B解析:[單選題]5.69.關(guān)于我國加強(qiáng)信息安全保障工作的主要原則，以下說法錯誤的是：A)立足國情，以我為主，堅持技術(shù)與管理并重B)正確處理安全和發(fā)展的關(guān)系，以安全保發(fā)展，在發(fā)展中求安全C)統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)工作D)全面提高信息安全防護(hù)能力，保護(hù)公眾利益，維護(hù)國家安全答案:D解析:[單選題]6.以下哪一種備份方式在恢復(fù)時間上最快？A)增量備份B)差異備份C)完全備份D)磁盤備份答案:B解析:[單選題]7.某項(xiàng)目組進(jìn)行風(fēng)險評估時由于時間有限,決定采用基于知識的分析方法,使用基于知識的分析方法進(jìn)行風(fēng)險評估,最重要的在于評估信息的采集,該項(xiàng)目組對信息源進(jìn)行了討論,以下說法中不可行的是()A)可以通過對當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查采集評估信息B)可以通過進(jìn)行實(shí)施考察的方式采集評估信息C)可以通過建立模型的方法采集評估信息D)可以制作問卷,進(jìn)行調(diào)查答案:C解析:基于知識的風(fēng)險評估方法和基于模型的風(fēng)險評估方法是并列關(guān)系[單選題]8.CISP的中文翻譯是？A)注冊信息安全專家B)中國信息安全注冊人員C)中國信息安全專家D)注冊信息安全專業(yè)人員答案:D解析:[單選題]9.以下對異地備份中心的理解最準(zhǔn)確的是A)與生產(chǎn)中心不在同一城市B)與生產(chǎn)中心距離100公里以上C)與生產(chǎn)中心距離200公里以上D)與生產(chǎn)中心面臨相同區(qū)域性風(fēng)險的機(jī)率很小答案:D解析:答案為D，建立異地備份中心的核心思想是減少相同區(qū)域性風(fēng)險。[單選題]10.與PDR模型相比,P2DR模型則更強(qiáng)調(diào)(),即強(qiáng)調(diào)系統(tǒng)安全的(),并且以安全檢測、()和自適應(yīng)填充?安全間隙?為循環(huán)來提高()。A)漏洞監(jiān)測;控制和對抗;動態(tài)性;網(wǎng)絡(luò)安全B)動態(tài)性;控制和對抗;漏洞監(jiān)測;網(wǎng)絡(luò)安全C)控制和對抗;漏洞監(jiān)測;動態(tài)性;網(wǎng)絡(luò)安全D)控制和對抗;動態(tài)性;漏洞監(jiān)測;網(wǎng)絡(luò)安全答案:D解析:[單選題]11.分布式拒絕服務(wù)(DistributedDenialofService,DDos)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺。對一個或多個目標(biāo)發(fā)動DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。一般來說,DDoS攻擊的主要目的是破壞目標(biāo)系統(tǒng)的()A)保密性B)完整性C)可用性D)真實(shí)性答案:C解析:[單選題]12.微軟SDL將軟件開發(fā)生命周期制分為七個階段,并列出了十七項(xiàng)重要的安全活動。其中?棄用不安全的函數(shù)?屬于()的安全活動A)要求(rapuiroments)階段B)設(shè)計(design)階段C)實(shí)施(Implenpentation)階段D)驗(yàn)證(vesication)階段答案:C解析:[單選題]13.隨著信息安全涉及的范圍越來越廣，各個組織對信息安全管理的需求越來越迫切，越來越多的組織開始嘗試使用參考ISO27001介紹的ISMS來實(shí)施信息安全管理體系，提高組織的信息安全管理能力。關(guān)于ISMS，下面描述錯誤的是？A)在組織中，應(yīng)由信息技術(shù)責(zé)任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設(shè)指明方向并提供總體綱領(lǐng)，明確總體要求B)組織的管理層應(yīng)確保ISMS目標(biāo)和相應(yīng)的計劃得以制定，信息安全管理目標(biāo)應(yīng)明確、可度量，風(fēng)險管理計劃應(yīng)具體、具備可行性C)組織的信息安全目標(biāo)、信息安全方針和要求應(yīng)傳達(dá)到全組織范圍內(nèi)，應(yīng)包括全體員工，同時，也應(yīng)傳達(dá)客戶、合作伙伴和供應(yīng)商等外部各方D)組織的管理層應(yīng)全面了解組織所面臨的信息安全風(fēng)險，決定風(fēng)險可接受級別和風(fēng)險可接受準(zhǔn)則，并確認(rèn)接受和相關(guān)殘余風(fēng)險答案:A解析:[單選題]14.這段代碼存在的安全問題，不會產(chǎn)生什么安全漏洞？（）<?php$username=$_GET(username);Echo$uername；Mysql_query("select*fromorderswhereusername="$username"）；?>A)命令執(zhí)行漏洞B)SQL注入漏洞C)文件包含漏洞D)反射XSS漏洞答案:C解析:[單選題]15.某公司的對外公開網(wǎng)站主頁經(jīng)常被黑客攻擊后修改主頁內(nèi)容,該公司應(yīng)當(dāng)購買并部署下面哪個設(shè)備()A)安全路由器B)網(wǎng)絡(luò)審計系統(tǒng)C)網(wǎng)頁防篡改系統(tǒng)D)虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)系統(tǒng)答案:C解析:[單選題]16.如果可能最應(yīng)該得到第一個應(yīng)急事件通知的小組是A)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組B)應(yīng)急響應(yīng)日常運(yùn)行小組C)應(yīng)急響應(yīng)技術(shù)保障小組D)應(yīng)急響應(yīng)實(shí)施小組答案:B解析:[單選題]17.信息安全風(fēng)險管理的對象不包括如下哪項(xiàng)A)信息自身B)信息載體C)信息網(wǎng)絡(luò)D)信息環(huán)境答案:C解析:[單選題]18.以下關(guān)于?軟件危機(jī)?說法錯誤的是?A)?軟件危機(jī)?是指在計算軟件的開發(fā)和維護(hù)過程中所遇到的一系列嚴(yán)重問題B)人們已經(jīng)徹底擺脫?軟件危機(jī)?的困擾C)軟件已經(jīng)成為限制計算機(jī)系統(tǒng)發(fā)展的瓶頸D)第三次?軟件危機(jī)?是以軟件安全問題為特點(diǎn)的答案:B解析:[單選題]19.軟件存在洞和缺陷是不可避免的，實(shí)踐中常使用軟件缺陷密度(Defects/KLOC)來衡量軟件的安全性，假設(shè)某個軟件共有296萬行源代碼，總共被檢測出145個缺陷，則可以計算出其軟件缺陷密度值是()A)0．00049B)0．049C)0.49D)49答案:B解析:[單選題]20.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行_______.A)政治審查；B)涉密人員背景調(diào)查；C)安全背景審查；D)職業(yè)背景調(diào)查；答案:C解析:[單選題]21.某linux系統(tǒng)由于root口令過于簡單，被攻擊者猜解后獲得了root口令，發(fā)現(xiàn)被攻擊后，管理員更改了root口令，并請安全專家對系統(tǒng)進(jìn)行檢測，在系統(tǒng)中發(fā)現(xiàn)有一個文件的權(quán)限如下-r-s--x--x1testtdst10704apr152002/home/test/sh請問以下描述哪個是正確的：A)該文件是一個正常文件，test用戶使用的shell,test不能讀該文件，只能執(zhí)行B)該文件是一個正常文件，是test用戶使用的shell,但test用戶無權(quán)執(zhí)行該文件C)該文件是一個后門程序，該文件被執(zhí)行時，運(yùn)行身份是root,test用戶間接獲得了root權(quán)限D(zhuǎn))該文件是一個后門程序，由于所有者是test，因此運(yùn)行這個文件時文件執(zhí)行權(quán)限為test答案：答案:C解析:根據(jù)題干則答案為C。[單選題]22.95.對于信息安全風(fēng)險評估，下列選項(xiàng)中正確的是（）A)風(fēng)險評估只需要實(shí)施一次就可以B)風(fēng)險評估應(yīng)該根據(jù)變化了的情況定期或不定期的適時地進(jìn)行C)風(fēng)險評估不需要形成文件化評估結(jié)果報告D)風(fēng)險評估僅對網(wǎng)絡(luò)做定期的掃描就行答案:B解析:[單選題]23.互聯(lián)網(wǎng)出口必須向公司信息化主管部門進(jìn)行____后方可使用。A)備案審批B)申請C)說明D)報備答案:A解析:[單選題]24.在以下的認(rèn)證方式中，最不安全的是？()A)PAPB)CHAPC)MS-CHAPD)SPAP答案:A解析:[單選題]25.管理評審的最主要目的是A)確認(rèn)信息安全工作是否得到執(zhí)行B)檢查信息安全管理體系的有效性C)找到信息安全的漏洞D)考核信息安全部門的工作是否滿足要求答案:B解析:[單選題]26.2017年Fox-T和Riscure的研究人員使用現(xiàn)成的電子部件組裝了一款設(shè)備提取AEs256算法中的加密密鑰,使用附近計算機(jī)的電磁輻射,通過屏幕輻射竊密就能推斷出加密密鑰,他們可能利用了AES代替和量換的特點(diǎn)修改了密鑰,以下()密碼算法也可能存在類似的風(fēng)險A)RSA算法B)SM2算法C)IDEA算法D)ELGamal公鑰密碼算法答案:C解析:[單選題]27.CC標(biāo)準(zhǔn)是目前系統(tǒng)安全認(rèn)證方面最權(quán)威的標(biāo)準(zhǔn),以下哪一項(xiàng)沒有體現(xiàn)CC標(biāo)準(zhǔn)的先進(jìn)性().A)實(shí)用性,將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試和評估過程中B)結(jié)構(gòu)的開放性,即功能和保證要求都可以在具體的?保護(hù)輪廓?和?安全目標(biāo)?中進(jìn)一步細(xì)化和擴(kuò)展C)表達(dá)方式的通用性,即給出通用的表達(dá)方式D)獨(dú)立性,它強(qiáng)調(diào)將安全的功能和保證分離答案:A解析:CC標(biāo)準(zhǔn)充分突出了保護(hù)輪廓這一概念,將評估過程分;功能和保證兩部分.CC是對已有安全準(zhǔn)則的總結(jié)和兼容,有通用的表達(dá)方式,便于理解[單選題]28.以下哪個現(xiàn)象較好的印證了信息安全特征中的動態(tài)性()A)經(jīng)過數(shù)十年的發(fā)展,互聯(lián)網(wǎng)上已經(jīng)接入了數(shù)億臺各種電子設(shè)備B)剛剛經(jīng)過風(fēng)險評估并針對風(fēng)險采取處理措施后僅一周,新的系統(tǒng)漏洞使得信息系統(tǒng)面臨新的風(fēng)險C)某公司的信息系統(tǒng)面臨了來自美國的?匿名者?黑客組織的攻擊D)某公司盡管部署了防火墻、防病毒等安全產(chǎn)品,但服務(wù)器中數(shù)據(jù)仍然產(chǎn)生了泄露答案:B解析:B體現(xiàn)出了動態(tài)性[單選題]29.二十世紀(jì)二十年代，德國發(fā)明家亞瑟謝爾比烏斯（ArthurScherbius）發(fā)明了Enigma密碼機(jī)。按密碼學(xué)發(fā)展歷史階段劃分，這個階段屬于A)古典密碼階段。這一階段的密碼專家常?？恐庇X和技巧來設(shè)計密碼，而不是憑借推理和證明，常用密碼運(yùn)算方法包括替代方法和置換方法B)近代密碼發(fā)展階段。這一階段開始使用機(jī)械代替手工計算，形成了機(jī)械式密碼設(shè)備和更進(jìn)一步曲機(jī)電密碼設(shè)備C)現(xiàn)代密碼學(xué)的早期發(fā)展階段。這一階段以香農(nóng)的論文?保密系統(tǒng)的通信理論?（"TheCommunicationTheoryofSecretSystems?）為理論基礎(chǔ)，開始了對密碼學(xué)的科學(xué)探索D)現(xiàn)代密碼學(xué)的近期發(fā)展階段。這一階段以公鑰密碼思想為標(biāo)志，引發(fā)了密碼學(xué)歷史上的革命性怕變革，同時，眾多的密碼算法開始應(yīng)用于非機(jī)密單位和商業(yè)場合答案:A解析:[單選題]30.在招聘過程中,如果在崗位人員的背景調(diào)查中出現(xiàn)問題時,以下做法正確的是?A)繼續(xù)執(zhí)行招聘流程。B)停止招聘流程,取消應(yīng)聘人員資格。C)與應(yīng)聘人員溝通出現(xiàn)的問題。D)再進(jìn)行一次背景調(diào)查。答案:B解析:[單選題]31.恢復(fù)時間目標(biāo):RecoveryTimeObjective,RTO和恢復(fù)點(diǎn)目標(biāo):RecoveryPointObjective,RPO是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)工作中的兩個重要指標(biāo),隨著信息系統(tǒng)越來越重要和信息技術(shù)越來越先進(jìn),這兩個指標(biāo)的數(shù)值越來越小.小華準(zhǔn)備為其工作的信息系統(tǒng)擬定RTO和RPO指標(biāo),則以下描述中,正確的是:.A)RTO不可以為0,RPO也不可以為0B)RTO可以為0,RPO也可以為0C)RTO可以為0,RPO不可以為0D)RTO不可以為0,RPO可以為0答案:B解析:RPO和RTO兩個指標(biāo)從不用的角度來反映災(zāi)難備份和恢復(fù)的能力,RTO和RPO都為0是最完美的解決方案,因?yàn)樵趦蓚€值都為0的情況下,意味著系統(tǒng)永不中斷服務(wù),而且完全沒有數(shù)據(jù)丟失.[單選題]32.以下不屬于Linux安全加固的內(nèi)容是什么?A)配置iptABlesB)配置TCpwApperC)啟用SelinuxD)修改root的UID答案:D解析:[單選題]33.以下關(guān)于Web傳輸協(xié)議、服務(wù)端和客戶端軟件的安全問、說法不正確的是（）A)HTTP協(xié)議主要存在明文傳輸數(shù)據(jù)、弱驗(yàn)證和缺乏狀態(tài)跟蹤等方面的安全問、B)HTTP協(xié)議缺乏有效的安全機(jī)制，易導(dǎo)致拒絕服務(wù)、電子欺騙、嗅探等攻擊C)Cookie是為了所別用戶身份，進(jìn)行會話跟蹤而存儲在用戶本地終端上的數(shù)據(jù)，用戶可以隨意查看存儲在Cookie中的數(shù)據(jù)，但其中的內(nèi)容不能被修改D)針對HTTP協(xié)議存在的安全問、，使用HTTPS具有較高的安全性，可以通過證書來驗(yàn)證服務(wù)器的身份，并為服務(wù)器和服務(wù)器之間的通信加密答案:C解析:[單選題]34.GB/T18336的最低級別是()A)EAL1B)EAL3C)EAL5D)EAL7答案:A解析:[單選題]35.以下對于Windows系統(tǒng)的服務(wù)描述，正確的是：A)windows服務(wù)必須是一個獨(dú)立的可執(zhí)行程序B)windows服務(wù)的運(yùn)行不需要用戶的交互登錄C)windows服務(wù)都是隨系統(tǒng)的啟動而啟動，無需用戶進(jìn)行干預(yù)D)windows服務(wù)都需要用戶進(jìn)行登錄后，以登錄用戶的權(quán)限進(jìn)行啟動答案:B解析:[單選題]36.年以來,我國高度重視信息安全保障工作,先后制定并發(fā)布了多個文件,從政策層面為開展并推進(jìn)信息安全保障工作進(jìn)行了規(guī)劃。下面選項(xiàng)中哪個不是我國發(fā)布的文件()A)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)B)《國家網(wǎng)絡(luò)安全綜合計劃(CNCI)》(國令[2008]54號)C)《國家信息安全戰(zhàn)略報告》(國信[2005]2號)D)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)[2012]23號)答案:B解析:[單選題]37.40.關(guān)于ARP欺騙原理和防范措施，下面理解錯誤的是（）A)ARP欺騙是指攻擊者直接向受害者主機(jī)發(fā)送錯誤的ARP應(yīng)答報文，使得受害者主機(jī)將錯誤的硬件地址映射關(guān)系存入到ARP緩存中，從而起到冒充主機(jī)的目的B)單純利用ARP欺騙攻擊時，ARP欺騙通常影響的是內(nèi)部子網(wǎng)，不能跨越路由實(shí)施攻擊C)解決ARP欺騙的一個有效方法是采用?靜態(tài)?的ARP緩存，如果發(fā)生硬件地址的更改，則需要人工更新緩存D)徹底解決ARP欺騙的方法是避免使用ARP協(xié)議和ARP緩存，直接采用IP地址和其他主機(jī)進(jìn)行連接答案:D解析:[單選題]38.風(fēng)險評估的工具中，（）是根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測試，判斷被非法訪問者利用的可能性，這類工具通常包括黑客工具、腳本文件。A)脆弱性掃描工具B)滲透測試工具C)拓?fù)浒l(fā)現(xiàn)工具D)安全審計工具答案:B解析:[單選題]39.對信息安全風(fēng)險評估要素理解正確的是:A)資產(chǎn)識別的粒度隨著評估范圍、評估目的的不同而不同,既可以是硬件設(shè)備,也可以是業(yè)務(wù)系統(tǒng),也可以是組織機(jī)構(gòu)B)應(yīng)針對構(gòu)成信息系統(tǒng)的每個資產(chǎn)做風(fēng)險評價C)脆弱性識別是將信息系統(tǒng)安全現(xiàn)狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項(xiàng)D)信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅答案:A解析:B錯誤,應(yīng)該是抽樣評估:C錯誤,應(yīng)該其描述的是差距分析:D錯誤,應(yīng)該是威脅包括人為威脅和環(huán)境威脅。[單選題]40.以下對于蠕蟲病毒的描述錯誤的是：A)蠕蟲的傳播無需用戶操作B)蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)帶寬，導(dǎo)致DOSC)蠕蟲的傳播需要通過?宿主?程序或文件D)蠕蟲程序一般由?傳播模塊?、?隱藏模塊?、?目的功能模塊?構(gòu)成答案:C解析:[單選題]41.3.口令破解是針對系統(tǒng)進(jìn)行攻擊的常用方法，Windows系統(tǒng)安全策略中應(yīng)對口令破解的策略主要是賬戶策略中的賬戶鎖定策略和密碼策略，關(guān)于這兩個策略說明錯誤的是A)密碼策略的主要作用是通過策略避免用戶生成弱口令及對用戶的口令使用進(jìn)行管控B)密碼策略對系統(tǒng)中所有的用戶都有效C)賬戶鎖定策略的主要作用是應(yīng)對口令暴力破解攻擊，能有效的保護(hù)所有系統(tǒng)用戶被口令暴力破解攻擊D)賬戶鎖定策略只適用于普通用戶，無法保護(hù)管理員administrator賬戶應(yīng)對口令暴力破解攻擊答案:C解析:[單選題]42.下列網(wǎng)絡(luò)安全技術(shù)中，能夠?qū)?nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時保護(hù)的是？()A)殺毒軟件B)入侵檢測C)防火墻D)端口掃描答案:B解析:[單選題]43.安全策略體系文件應(yīng)當(dāng)包括的內(nèi)容不包括A)信息安全的定義、總體目標(biāo)、范圍及對組織的重要性B)對安全管理職責(zé)的定義和劃分C)口令、加密的使用是阻止性的技術(shù)控制措施;D)違反安全策略的后果答案:C解析:[單選題]44.以下不可以防范口令攻擊的是:A)設(shè)置的口令要盡量復(fù)雜些，最好由字母、數(shù)字、特殊字符混合組成;B)在輸入口令時應(yīng)確認(rèn)無他人在身邊;C)定期改變口令;D)選擇一個安全性強(qiáng)復(fù)雜度高的口令，所有系統(tǒng)都使用其作為認(rèn)證手段答案:D解析:[單選題]45.項(xiàng)目管理是信息安全工程的基本理論，以下哪項(xiàng)對項(xiàng)目管理的理解是正確的：A)項(xiàng)目管理的基本要素是質(zhì)量，進(jìn)度和成本B)項(xiàng)目管理的基本要素是范圍，人力和溝通C)項(xiàng)目管理是從項(xiàng)目的執(zhí)行開始到項(xiàng)目結(jié)束的全過程進(jìn)行計劃、組織D)項(xiàng)目管理是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)，方法和理論。對項(xiàng)目涉及的技術(shù)工作進(jìn)行有效地管理答案:A解析:[單選題]46.某銀行網(wǎng)上交易系統(tǒng)開發(fā)項(xiàng)目在設(shè)計階段分析系統(tǒng)運(yùn)行過程中可能存在的攻擊，請問以下哪一項(xiàng)工作不能降低該系統(tǒng)的受攻擊面：A)分析系統(tǒng)功能的重要性△B)分析從哪里可以訪問這些功能C)采取合理措施降低特權(quán)△D)分析系統(tǒng)應(yīng)滿足的性能要求答案:D解析:[單選題]47.VLAN中繼有何用途A)通過減少廣播流量提高網(wǎng)絡(luò)性能B)選擇在交換網(wǎng)絡(luò)中傳輸數(shù)據(jù)的最佳路徑C)通過一條鏈路傳送多個VLAN的流量D)避免交換網(wǎng)絡(luò)中出現(xiàn)生成樹環(huán)路答案:D解析:[單選題]48.包過濾防火墻工作在OSI網(wǎng)絡(luò)參考模型的____。A)A物理層B)B數(shù)據(jù)鏈路層C)C網(wǎng)絡(luò)層D)D應(yīng)用層答案:C解析:[單選題]49.虛擬專用網(wǎng)絡(luò)(VPN)通常是指在公共網(wǎng)路中利用隧道技術(shù),建立一個臨時的,安全的網(wǎng)絡(luò)。這里的字母P的正確解釋是()A)Special-purpose.特定、專用用途的B)Proprietary專有的、專賣的C)Private私有的、專有的D)Specific特種的、具體的答案:C解析:[單選題]50.某單位在一次信息安全風(fēng)險管理活動中，風(fēng)險評估報告提出服務(wù)器A的FTP服務(wù)存在高風(fēng)險漏洞。隨后該單位在風(fēng)險處理時選擇了安裝FTP服務(wù)漏洞補(bǔ)丁程序并加固FTP服務(wù)安全措施，請問該措施屬于哪種風(fēng)險處理方式（）A)風(fēng)險降低B)風(fēng)險規(guī)避C)風(fēng)險轉(zhuǎn)移D)風(fēng)險接受答案:A解析:[單選題]51.在某個公司中,以下哪個角色最適合評估信息安全的有效性?A)公司的專家B)業(yè)務(wù)經(jīng)理C)IT審計員D)信息安全經(jīng)理答案:C解析:[單選題]52.某電子商務(wù)網(wǎng)站架構(gòu)設(shè)計時，為了避免數(shù)據(jù)誤操作，在管理員進(jìn)行訂單刪除時，需要由審核員進(jìn)行審核后該操作才能生效，這種設(shè)計是遵循了以下哪個原則：A)權(quán)限分離原則B)最小特權(quán)原則C)保護(hù)XXX環(huán)節(jié)的原則D)縱深防御的原則答案:A解析:[單選題]53.對于信息安全風(fēng)險評估，下列選項(xiàng)中正確的是（）。A)風(fēng)險評估只需要實(shí)施一次就可以B)風(fēng)險評估應(yīng)該根據(jù)變化了的情況定期或不定期的適時地進(jìn)行C)風(fēng)險評估不需要形成文化評估結(jié)果報告D)風(fēng)險評估僅對網(wǎng)絡(luò)做定期的掃面就行答案:B解析:[單選題]54.下面不是事務(wù)的特性的是____。A)A完整性B)B原子性C)C一致性D)D隔離性答案:A解析:[單選題]55.以下關(guān)于網(wǎng)絡(luò)釣魚的說法中,不正確的是（）。A)網(wǎng)絡(luò)釣魚屬于社會工程攻擊B)網(wǎng)絡(luò)釣魚與Web服務(wù)沒有關(guān)系C)典型的網(wǎng)絡(luò)釣魚攻擊是將被攻擊者引誘到一個釣魚網(wǎng)站D)網(wǎng)絡(luò)釣魚融合了偽裝、欺騙等多種攻擊方式答案:B解析:[單選題]56.下列關(guān)于IS015408信息技術(shù)安全評估準(zhǔn)則(簡稱CC)通用性的特點(diǎn)，即給出通用的表達(dá)方式，描述不正確的是A)如果用戶、開發(fā)者、評估者和認(rèn)可者都使用CC語言，互相就容易理解溝通B)通用性的特點(diǎn)對規(guī)范實(shí)用方案的編寫和安全測試評估都具有重要意義C)通用性的特點(diǎn)是在經(jīng)濟(jì)全球化發(fā)展、全球信息化發(fā)展的趨勢下，進(jìn)行合格評定和評估結(jié)果國際互認(rèn)的需要D)通用性的特點(diǎn)使得CC也適用于對信息安全建設(shè)工程實(shí)施的成熟度進(jìn)行評估答案:D解析:[單選題]57.作為單位新上任的cso,你組織了一次本單位的安全評估工作以了解單位安全現(xiàn)狀。在漏洞掃描報告中,你發(fā)現(xiàn)了某部署在內(nèi)網(wǎng)且僅對內(nèi)部服務(wù)的業(yè)務(wù)系統(tǒng)存在一個漏洞,對比上一年度的漏洞掃描報告,發(fā)現(xiàn)這個漏洞之前已經(jīng)報告出來,經(jīng)詢問安全管理員得知,這個業(yè)務(wù)系統(tǒng)開發(fā)商已經(jīng)倒閉,因此無法修復(fù)。對于這個問題,你應(yīng)該如何處理()A)向公司管理層提出此問題,要求立即立項(xiàng)重新開發(fā)此業(yè)務(wù)系統(tǒng),避免單位中存在這樣的安全風(fēng)險B)既然此問題不是新發(fā)現(xiàn)的問題,之前已經(jīng)存在,因此與自己無關(guān),可以不予理會C)讓安全管理人員重新評估此漏洞存在的安全風(fēng)險并給出進(jìn)一步的防護(hù)措施后再考慮如何處理D)讓安全管理員找出驗(yàn)收材料看看有沒有該業(yè)務(wù)系統(tǒng)源代碼,自己修改解決這個漏洞答案:C解析:[單選題]58.下圖是使用CC標(biāo)準(zhǔn)進(jìn)行信息安全評估的基本過程,在圖(1)-(3)處填入構(gòu)成評估相關(guān)要素的主要因素,下列選項(xiàng)中正確的是A)(1)評估方法學(xué),(2)最終評估結(jié)果,(3)批準(zhǔn)、認(rèn)證B)(1)評估方法學(xué),(2)認(rèn)證過程,(3)最終評估結(jié)果C)(1)評估合理性,(2)最終評估結(jié)果,(3)批準(zhǔn)、認(rèn)證D)(1)評估合理性,(2)認(rèn)證過程,(3)最終評估結(jié)果答案:A解析:[單選題]59.406.我國標(biāo)準(zhǔn)《信息安全風(fēng)險管理指南》(GB/Z24364)給出了信息安全風(fēng)險管理的內(nèi)容和過程,可以用下圖來表示。圖中空白處應(yīng)該填寫:A)風(fēng)險計算B)風(fēng)險評價C)預(yù)測D)風(fēng)險處理答案:D解析:[單選題]60.84.規(guī)范的實(shí)施流程和文檔管理，是信息安全風(fēng)險評估能否取得成果的重要基礎(chǔ)，某單位在實(shí)施風(fēng)險評估時，形成了《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》。在風(fēng)險評估實(shí)施的各個階段中，該《待評估信息系統(tǒng)相關(guān)設(shè)備及資產(chǎn)清單》應(yīng)是如下（）中的輸出結(jié)果。A)風(fēng)險評估準(zhǔn)備B)風(fēng)險要素識別C)風(fēng)險分析D)風(fēng)險結(jié)果判定答案:B解析:[單選題]61.小王是某大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)的學(xué)生，最近因?yàn)樯∪毕藥滋眯畔踩n程，這幾次課的內(nèi)容是安全審計。為了趕上課程進(jìn)度，他向同班的小李借來課堂筆記。進(jìn)行自學(xué)，而小李在聽課時由于經(jīng)常走神，所以筆記中會出現(xiàn)一些錯誤。下列選項(xiàng)是小李筆記中關(guān)于安全審計系統(tǒng)的內(nèi)容，其中不屬于安全審計作用的選項(xiàng)是（）A)檢測和制止對系統(tǒng)的入侵B)發(fā)現(xiàn)計算機(jī)的濫用情況C)保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄D)提供系統(tǒng)運(yùn)行的日志，從而發(fā)現(xiàn)系統(tǒng)入侵行為及潛在的漏洞答案:C解析:[單選題]62.根據(jù)相關(guān)標(biāo)準(zhǔn)，信息安全風(fēng)險管理可分為背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢等階段。按照該框架，文檔《風(fēng)險分析報告》應(yīng)屬于哪個階段的輸出成果A)風(fēng)險評估B)風(fēng)險處理C)批準(zhǔn)監(jiān)督D)監(jiān)控審查答案:A解析:[單選題]63.下列對審計系統(tǒng)基本組成描述正確的是：A)審計系統(tǒng)一般包括三個部分：日志記錄、日志分析和日志處理B)審計系統(tǒng)一般包含兩個部分：日志記錄和日志處理C)審計系統(tǒng)一般包含兩個部分：日志記錄和日志分析D)審計系統(tǒng)一般包含三個部分：日志記錄、日志分析和日志報告答案:D解析:[單選題]64.無論是哪一種web服務(wù)器，都會受到HTTP協(xié)議本身安全問題的困擾，這樣的信息系統(tǒng)安全漏洞屬于：A)設(shè)計型漏洞B)開發(fā)型漏洞C)運(yùn)行型漏洞D)以上都不是答案:A解析:[單選題]65.32.某軟件在設(shè)計時，有三種用戶訪問模式，分別是僅管理員可訪問，所有合法用戶可訪問和允許匿名訪問，請問采用這三種訪問模式時，攻擊面最高的是()A)僅管理員可訪問B)所有合法用戶可訪問C)允許匿名訪問D)三種方式一樣答案:C解析:[單選題]66.風(fēng)險評估文檔是指在整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔,其中,明確評估的目的、職責(zé)、過程、相關(guān)的文檔要求,以及實(shí)施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)的文檔是()A)《風(fēng)險評估方案》B)《風(fēng)險評估程序》C)《資產(chǎn)識別清單》D)《風(fēng)險評估報告》答案:A解析:[單選題]67.如果可以在組織范圍定義文檔化的標(biāo)準(zhǔn)過程，在所有的項(xiàng)目規(guī)劃、執(zhí)行和跟蹤已定義的過程，并且可以很好地協(xié)調(diào)項(xiàng)目活動和組織活動，則組織的安全能力成熟度可以達(dá)到？A)規(guī)劃跟蹤定義B)充分定義級C)量化控制級D)持續(xù)改進(jìn)級答案:B解析:[單選題]68.小王在學(xué)習(xí)信息安全管理體系相關(guān)知識之后,對于建立信息安全管理體系,自己總結(jié)了下面四條要求,其中理解不正確的是()。A)信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn),因?yàn)橐獙π畔踩芾砩婕暗姆椒矫婷鎸?shí)施較為均衡的管理,避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過低B)信息安全管理體系的建立應(yīng)參照國際國內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施,因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問題后,制定的能共同的和重復(fù)使用的規(guī)則C)信息安全管理體系的建立應(yīng)基于一次風(fēng)險評估徹底解決所有安全問題的思想,因?yàn)檫@是國家有關(guān)信息安全的法律和法規(guī)方面的要求,這體現(xiàn)以預(yù)防控制為主的思想D)信息安全管理體系應(yīng)強(qiáng)調(diào)全過程和動態(tài)控制的思想,因?yàn)榘踩珕栴}是動態(tài)的,系統(tǒng)所處的安全環(huán)境也不會一成不變,不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)答案:C解析:?一次風(fēng)險評估徹底解決所有安全問題?錯誤[單選題]69.風(fēng)險評估的過程中,首先要識別信息資產(chǎn),資產(chǎn)識別時,以下哪個不是需要遵循的原則?A)只識別與業(yè)務(wù)及信息系統(tǒng)有關(guān)的信息資產(chǎn),分類識別B)所有公司資產(chǎn)都要識別C)可以從業(yè)務(wù)流程出發(fā),識別各個環(huán)節(jié)和階段所需要以及所產(chǎn)出的關(guān)鍵資產(chǎn)D)資產(chǎn)識別務(wù)必明確責(zé)任人、保管者和用戶答案:B解析:[單選題]70.數(shù)據(jù)鏈路層負(fù)責(zé)監(jiān)督相鄰網(wǎng)絡(luò)節(jié)點(diǎn)的信息流動,用檢錯或糾錯技術(shù)來確保正確的傳輸,確保解決該層的流量控制問題。數(shù)據(jù)鏈路層的數(shù)據(jù)單元是()A)報文B)比特流C)幀D)包答案:C解析:P330頁[單選題]71.當(dāng)web服務(wù)器訪問人數(shù)超過了設(shè)計訪問人數(shù)上限，將可能出現(xiàn)的HTTP狀態(tài)碼是？A)503B)302C)403D)200答案:A解析:[單選題]72.ApacheWeb服務(wù)器的配置文件一般位于/usr/local/apache/conf目錄,其中用來控制用戶訪問Apache目錄的配置文件是:保密A)httpd.confB)srLconfC)access.confD)Inet.conf答案:A解析:[單選題]73.口令是驗(yàn)證用戶身份的最常用手段，以下哪一種口令的潛在風(fēng)險影響范圍最大？A)長期沒有修改的口令B)過短的口令C)兩個人公用的口令D)設(shè)備供應(yīng)商提供的默認(rèn)口令答案:D解析:[單選題]74.在業(yè)務(wù)持續(xù)性計劃中,下面哪一項(xiàng)具有最高的優(yōu)先級?A)恢復(fù)關(guān)鍵流程B)恢復(fù)敏感流程C)恢復(fù)站點(diǎn)D)將運(yùn)行過程重新部署到一個替代的站點(diǎn)答案:A解析:[單選題]75.微軟提出了STRIDE模型,其中Repudation(抵賴)的縮寫,關(guān)于此項(xiàng)安全要求,下面描述錯誤的是()A)某用戶在登陸系統(tǒng)并下載數(shù)據(jù)后,卻聲稱?我沒有下載過數(shù)據(jù)?,軟件系統(tǒng)中的這種威脅就屬于R威脅B)解決R威脅,可以選擇使用抗抵賴性服務(wù)技術(shù)來解決,如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計等技術(shù)措施C)R威脅是STRIDE六種威脅中第三嚴(yán)重的威脅,比D威脅和E威脅的嚴(yán)重程度更高D)解決R威脅,也應(yīng)按照確定建模對象、識別威脅、評估威脅以及消減威脅等四個步驟來進(jìn)行答案:C解析:[單選題]76.哪種攻擊是攻擊者通過各種手段來小號網(wǎng)絡(luò)寬帶或者服務(wù)器系統(tǒng)資源,最終導(dǎo)致被攻擊服務(wù)器資源耗盡或者系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)()A)拒絕服務(wù)B)緩沖區(qū)溢出C)DNS欺騙D)IP欺騙答案:A解析:題干是針對拒絕服務(wù)攻擊的描述[單選題]77.在典型的web應(yīng)用站點(diǎn)的層次結(jié)構(gòu)中，?中間件?是在哪里運(yùn)行的？A)瀏覽器客戶端B)web服務(wù)器C)應(yīng)用服務(wù)器D)數(shù)據(jù)庫服務(wù)器答案:C解析:[單選題]78.信息安全需求獲取的主要手段A)信息安全風(fēng)險評估B)領(lǐng)導(dǎo)的指示C)信息安全技術(shù)D)信息安全產(chǎn)品答案:A解析:[單選題]79.SABSA模型包括(),它是個(),它在第一層從安全的角度定義了()。模型的每一層在抽象方向少,細(xì)節(jié)逐層增加,因此,它的層級都是建在其他層之上的,從策略逐漸到技術(shù)和解決方案的()。其思提出了個包括、戰(zhàn)略、概念、設(shè)計、實(shí)施、度量和審計層次的()A)五層:業(yè)務(wù)需求:分層模型:實(shí)施實(shí)踐:安全鏈條B)六層:分層模型:業(yè)務(wù)需求:實(shí)施實(shí)踐:安全鏈條C)五層:分層模型:業(yè)務(wù)需求:實(shí)施實(shí)踐:安全鏈條D)六層:分層模型:實(shí)施實(shí)踐:業(yè)務(wù)需求:安全鏈條答案:B解析:[單選題]80.由于病毒攻擊、非法入侵等原因,校園網(wǎng)部分園區(qū)癱瘓,或者郵件、計費(fèi)服務(wù)器不能正常工作,屬于以下哪種級別事件A)特別重大事件B)重大事件C)較大事件D)一般事件答案:B解析:[單選題]81.以下關(guān)于https協(xié)議http協(xié)議相比的優(yōu)勢說明，那個是正確的？A)Https協(xié)議對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，可以避免嗅探等攻擊行為B)Https使用的端口http不同，讓攻擊者不容易找到端口，具有較高的安全性C)Https協(xié)議是http協(xié)議的補(bǔ)充，不能獨(dú)立運(yùn)行，因此需要更高的系統(tǒng)性能D)Https協(xié)議使用了挑戰(zhàn)機(jī)制，在會話過程中不傳輸用戶名和密碼，因此具有較高的安全性答案:A解析:[單選題]82.對抗監(jiān)測技術(shù)是惡意代碼實(shí)現(xiàn)自身保護(hù)的重要機(jī)制。主要采用的是反調(diào)試技術(shù)。反調(diào)試技術(shù)可以分為動態(tài)反調(diào)試和靜態(tài)反調(diào)試。以下哪項(xiàng)屬于動態(tài)反調(diào)試技術(shù)（）A)加殼B)代碼混淆C)禁止跟蹤中斷D)加密答案:B解析:[單選題]83.90.公鑰基礎(chǔ)設(shè)施(PublicKeyinfrastructure,PKI)引入數(shù)字證書的概念,用來表示用戶的身份。下圖簡要地描述了終端實(shí)體(用戶)從認(rèn)證權(quán)威機(jī)構(gòu)CA申請、撤銷和更新數(shù)字證書的流程。請為中間框空白處選擇合適當(dāng)選項(xiàng):A)證書庫B)RAC)OCSPD)CRL庫答案:B解析:[單選題]84.滲透測試作為網(wǎng)絡(luò)安全評估的一部分A)提供保證所有弱點(diǎn)都被發(fā)現(xiàn)B)在不需要警告所有組織的管理層的情況下執(zhí)行C)找到存在的能夠獲得未授權(quán)訪問的漏洞D)在網(wǎng)絡(luò)邊界上執(zhí)行不會破壞信息資產(chǎn)答案:C解析:[單選題]85.關(guān)于《商用密碼管理?xiàng)l例》，正確的是?（）A)商用密碼技術(shù)屬于國家機(jī)密B)商用密碼可以對涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)。C)國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行認(rèn)證管理D)國內(nèi)用戶可以使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品答案:C解析:[單選題]86.在正常情況下，Windows2000中建議關(guān)閉的服務(wù)是____。A)A?TCP／IP-NetBIOS-Helper-Service?B)B?Logical-Disk-Manager?C)C?Remote-Procedure-CallD)DSecurity-Accounts-Manager?答案:A解析:[單選題]87.部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)(InternetProtocolSecurityVirtualPrivateNetwork,IPsecVPN)時,以下說法正確的是()。A)部署IPsecVPN網(wǎng)絡(luò)時,需要考慮IP地址的規(guī)劃,盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段,來減少IPsec安全關(guān)聯(lián)(SecurityAuthentication,SA)資源的消耗B)配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C)配置MD5安全算法可以提供可靠地數(shù)據(jù)加密D)報文驗(yàn)證頭協(xié)議(AuthenticationHeader,AH)可以提供數(shù)據(jù)機(jī)密性答案:A解析:MD5是單向函數(shù)提供數(shù)據(jù)完整性驗(yàn)證,AES是數(shù)據(jù)加密算法提供數(shù)據(jù)機(jī)密性保護(hù),AH提供身份驗(yàn)證和數(shù)據(jù)完整性保護(hù)。[單選題]88.沒權(quán)限訪問某個